Security Stories: Ноутбук для работы… какой он? А каким должен быть?
Экспертная статья Дениса Суховея, руководителя департамента развития технологий компании "Аладдин Р.Д."
В предыдущих постах мы рассуждали о проблемах удалёнки и о том, какими последствиями для бизнеса она может обернуться, если не использовать надёжные методы защиты информации. Сегодня мы поговорим о том, что важно учесть при использовании ноутбука как основного инструмента работы с корпоративными данными.
Итак, какую роль ноутбук играет сегодня в бизнесе?
Лёгкий, тонкий, быстрый, модный – ноутбук является частью рабочего окружения для сотрудника современной организации. В силу своих качеств и удобства использования ноутбуки "проникают" в рабочие процессы и уверенно вымещают стационарные рабочие станции. До пандемии средняя статистика по России свидетельствовала о 55%-ной доле ноутбуков по отношению к общему числу рабочих станций в отечественных организациях. По причине перехода организаций на дистанционный режим работы своих сотрудников закупались и продолжают закупаться большие партии ноутбуков, так что можно смело рассчитывать на существенное увеличение доли ноутбуков в самом ближайшем будущем. Почему этот тип устройства так популярен?
- Мобильность. Современный бизнес требует мгновенного включения в информационный поток и задачи, где бы ни находился сотрудник, ноутбук в этом смысле незаменим, чего не скажешь о смартфоне или даже планшете.
- Автономность. Современные модели ноутбуков могут работать в среднем 8-10 часов, обеспечивая сотрудника автономностью на целый рабочий день.
- Производительность. Все задачи общего характера современный ноутбук отрабатывает легко и непринуждённо. Среднестатистический сотрудник офиса обеспечивается большим излишком производительности при выполнении своих повседневных задач.
Все эти причины и возможно многие другие делают ноутбук тем популярным устройством, которое "должно быть" у каждого современного человека. В данной статье мы зададимся вопросом о том, каким должен быть идеальный образ ноутбука сегодня. Вопрос этот будет задаваться не с точки зрения технических характеристик и сравнения конкретных моделей мобильных компьютеров, но с точки зрения пользы и эффективности устройства для бизнеса организации.
Для полноценного ответа на поставленные вопросы необходимо создать полную картину и проанализировать не только положительное, но и возможно негативное влияние ноутбука на рабочие процессы и бизнес в целом.
Обратная сторона медали
Всепроникающая универсальность ноутбука является не только его преимуществом, но и потенциальной проблемой. Сотрудники просматривают и обрабатывают конфиденциальную информацию, служебные данные, секреты организации в недоверенной среде. Именно такие сценарии работы на ноутбуке являются "питательной средой" для возникновения угрозы утечек и компрометации информации. Для понимания сути и причин возникающей проблемы стоит более детально рассмотреть условные недостатки ноутбуков с точки зрения информационной безопасности.
1. В силу своей компактности ноутбук легко потерять, его также могут украсть во время транспортировки или использования за пределами контролируемой зоны организации. Вся информация на борту ноутбука будет в распоряжении злоумышленника со всеми вытекающими из этого последствиями.
2. Ноутбук представляет собой замкнутую аппаратную конструкцию, замена деталей или самостоятельный ремонт почти всегда запрещены гарантийными обязательствами, поэтому при поломке или зависании ноутбука служба ИТ просто передаёт устройство в сервисный центр – на ремонт! Передача зависшего или неработоспособного ноутбука третьим лицам сопровождается большой вероятностью утечки информации, ведь сотрудники сервисного центра могут быть потенциальными злоумышленниками. При этом злонамеренный доступ и копирование информации с такого ноутбука невозможно зафиксировать и, следовательно, доказать.
3. Обилие коммуникационных портов. Это важное свойство современного ноутбука является обособленной областью повышенного внимания службы информационной безопасности, ведь чем больше портов для связи, тем больше каналов коммуникации и потенциальных сценариев утечки информации. Все приходится контролировать или деактивировать для предотвращения инцидентов ИБ.
4. Рабочие процессы требуют от сотрудника интенсивного обмена информацией во время работы. Это является настоящим вызовом для службы ИБ, ведь контроль использования USB-портов на ноутбуке, работающем за пределами контролируемой зоны – непростая задача. При этом использование USB-флешки для обмена информацией – это наиболее популярный сценарий.
5. В силу того, что ноутбук – это технически сложное устройство, пользователи нуждаются в постоянной технической поддержке, а, следовательно, и доступе ИТ-администратора к своему устройству. В ряде случаев перед службой безопасности встаёт задача запрета доступа к секретной информации на ноутбуке для ИТ-администраторов. Без профессиональных инструментов сделать это практически невозможно. Отказ от решения подобных задач будет означать потенциальный риск утечки информации.
Таким образом мобильный компьютер весьма противоречивое средство решения бизнес-задач. Он обладает внушительным набором преимуществ и в то же время требует повышенного внимания со стороны службы безопасности организации.
Вполне очевидно, что образом идеального средства решения бизнес-задач может служить современная модель ноутбука, оснащённая набором профессиональных средств безопасности, компенсирующих или даже предотвращающих все возможные сценарии компрометации секретов организации. Программный комплекс защиты информации Secret Disk является оптимальным дополнением к рассматриваемому идеальному образу ноутбука.
В нашем следующем посте мы подробнее рассмотрим методы достижения должного уровня защищённости рабочего ноутбука.